Changer les droits d'apache

Changer les droits d'apache - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 14-11-2007 à 11:17:27    

Salut tous

 

Voila sur mon serveur LAMP, je voudrais changer les droits d'apache : à savoir que l'user "apache" (id 48) n'aie accès aux données dont le propriétaire fait partie du groupe "fournisseurs" (id de groupe 502) qu'en lecture seule.

 

Bien sûr, je voudrais que ces droits soient permanents (toujours là quand on redémarre apache ou le serveur).

 

Comment on fait [:opus dei]

  

ps : je suis sous linux fedora core 6.

 

edit : j'ai un peu oublié ces trucs de droits, et surtout je voulais être sûr, car c'est vraiment un truc de sécu...


Message édité par theredled le 14-11-2007 à 11:22:42

---------------
Contes de fées en yaourt --- --- zed, souviens-toi de ma dernière lettre. --- Rate ta musique
Reply

Marsh Posté le 14-11-2007 à 11:17:27   

Reply

Marsh Posté le 14-11-2007 à 11:24:25    

En utilsant find + setfacl ca se fait facilement. Encore faut  il que tes FS supportent soient montés avec le support des acls.

 

edit: En fait ca se fait facilement pour les fichiers existants. Cela place correctement les droits pour que www-data puisse accéder en lecture seule à ces fichiers. Pour les nouveaux fichiers il faut repasser un coup de setfacl.


Message édité par o'gure le 14-11-2007 à 11:28:07

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-11-2007 à 11:30:47    

[:totoz]
Ya pas plus simple avec chmod et tout ? :o

 

En fait je reformule après recherche : je voudrais que tous les fichiers du groupe "fournisseurs" 502 (en fait tous les utilisateurs de ce groupe ont l'id 400 si ça peut aider [:petrus75]), sachant qu'ils sont tous contenus dans le même dossier (!) ne soit accessibles en écriture qu'au groupe 502, et en lecture pour tous les autres (dont Apache, forcément).

 

Du coup je peux faire un chmod sur les fichiers/dossiers existants, mais pour les prochains ça va pas marcher ?

 

Quand on met des autorisations sur un dossier, s'appliquent-elles automatiquement à tous les fichiers/dossiers contenus créés ultérieurement ?
Si oui,  ne puis-je pas simplement mettre un chmod adéquat sur le dossier conteneur ?

Message cité 1 fois
Message édité par theredled le 14-11-2007 à 11:34:11

---------------
Contes de fées en yaourt --- --- zed, souviens-toi de ma dernière lettre. --- Rate ta musique
Reply

Marsh Posté le 14-11-2007 à 11:32:09    

setacl est un chmod plus évolués si tu veux [:spamafote]


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-11-2007 à 11:32:48    

theredled a écrit :

Quand on met des autorisations sur un dossier, s'appliquent-elles automatiquement à tous les fichiers/dossiers contenus créés ultérieurement ?


Non à moins de le faire récursivement (généralement options -R)[:spamafote]


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-11-2007 à 11:36:03    

o'gure a écrit :


Non à moins de le faire récursivement (généralement options -R)[:spamafote]


Oui mais là tu parle des fichiers existants, pour les fichiers futurs ils prendront les droits du dossier parent non ?


---------------
Contes de fées en yaourt --- --- zed, souviens-toi de ma dernière lettre. --- Rate ta musique
Reply

Marsh Posté le 14-11-2007 à 11:39:30    

Je parlais pour les existants oui, pour les nouveaux, je sais pas, je ne connais pas de technique pour allouer les acl qui vont bien dès la création du fichier/dossier (à part l'umask ou le changement de groupe du créateur)
 
umask => droit classique (user/group/other)
changement du groupe de l'utilisateur avant de créer => le fichier est créer tel qu'il appartient à l'utilisateur, et le groupe du fichier est celui qu'on vient de définir comme groupe par "défaut" de l'utilisateur (groupe affecté aux nouveaux fichiers).
 
:/


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-11-2007 à 11:53:31    

Le truc c'est que rien ne me dit que mon système supporte les ACL, et en fait je préfère faire comme si ce n'était pas le cas...


---------------
Contes de fées en yaourt --- --- zed, souviens-toi de ma dernière lettre. --- Rate ta musique
Reply

Marsh Posté le 14-11-2007 à 11:58:26    

Et pourquoi ne pas l'activer, c'est réellement plus flexible que les droits de bases...
c'est quoi tes fs et ton kernel ?

 

sinon pour l'affectation automatique des privilèges c'est umask qu'il faut bien définir avant la création de nouveaux fichiers/dossiers. Seulement d'après le man, il ne supporte pas les acl.

 

Sinon en se basant uniquement sur les droits basiques :
 - tu mets les utilisateurs dans un groupes précis
 - tu affectes ce groupes aux fichiers que tu veux
 - tu mets des droits en 64? (6 : droits rw pour l'utilisateur, 4 : droit r only pour le groupe, ? tu mets ce que tu veux pour le reste du monte)

 

quand tu dois créer des fichiers pour ce groupe : umask adéquat + changement de groupe "par défaut" de ton utilisateur.

 

Le problème c'est qu'avec les droits de bases, un fichier ne peut avoir qu'un seul groupe [:spamafote]
=> d'où l'intéret des acl

 


edit: ah si d'après le man de setfacl il y a l'acl par défaut pour répertoire
http://www.suse.de/~agruen/acl/linux-acls/online/

Message cité 1 fois
Message édité par o'gure le 14-11-2007 à 12:02:48

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-11-2007 à 12:58:03    

o'gure a écrit :

Et pourquoi ne pas l'activer, c'est réellement plus flexible que les droits de bases...
c'est quoi tes fs et ton kernel ?

 

sinon pour l'affectation automatique des privilèges c'est umask qu'il faut bien définir avant la création de nouveaux fichiers/dossiers. Seulement d'après le man, il ne supporte pas les acl.

 

Sinon en se basant uniquement sur les droits basiques :
 - tu mets les utilisateurs dans un groupes précis
 - tu affectes ce groupes aux fichiers que tu veux
 - tu mets des droits en 64? (6 : droits rw pour l'utilisateur, 4 : droit r only pour le groupe, ? tu mets ce que tu veux pour le reste du monte)

 

quand tu dois créer des fichiers pour ce groupe : umask adéquat + changement de groupe "par défaut" de ton utilisateur.

 

Le problème c'est qu'avec les droits de bases, un fichier ne peut avoir qu'un seul groupe [:spamafote]
=> d'où l'intéret des acl

 


edit: ah si d'après le man de setfacl il y a l'acl par défaut pour répertoire
http://www.suse.de/~agruen/acl/linux-acls/online/


Disons que c'est un serveur distant, que l'opération est une question d'heures, que je suis pas assez calé en cas d'emmerdes, donc je préfère prendre la solution la plus simple et universelle.
D'autant que je n'ai pas besoin d'avoir plusieurs groupes pour un fichier, ici...

 

Bon là j'ai fait un chmod -R o-w sur le dossier conteneur, tout va bien, le seul truc maintenant c'est que quand l'user proprio crée un fichier, c'est par défaut en 777. Umask ne m'a pas l'air de marcher, il s'applique sur tous les proprios et faut l'activer/désactiver tout le temps...


Message édité par theredled le 14-11-2007 à 13:01:52

---------------
Contes de fées en yaourt --- --- zed, souviens-toi de ma dernière lettre. --- Rate ta musique
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed